ensp練習：防火牆安全策略配置

一、實驗目的：
1、 了解華為防火牆安全策略。
2、 掌握華為防火牆安全策略的配置。

二、實驗儀器：
計算機、華為ensp模擬器、華為防火牆

三、實驗內容：
在這里插入圖片描述
根據網絡拓撲圖如上（交換機不需要配置），在防火牆配置安全策略，要求：
（1） 192.168.0.0/24網段可以訪問server1。
（2） pc2不能訪問server1。
（3） 192.168.1.0/24網段不可以ping通server1，但可以訪問server1的網站。
（4） 建立域內安全策略，使192.168.0.0/24網段不可以ping通192.168.1.0/24網段。
（5） untrust區的計算機只可以訪問dmz區服務器server2的網站。
（6） trust區192.168.0.0/24網段可以訪問dmz區服務器，而192.168.1.0/24網段不能訪問
四、實驗詳細步驟：
1.先配好各個pc和server的ip地址
在這里插入圖片描述
在這里插入圖片描述
在這里插入圖片描述
在這里插入圖片描述
在這里插入圖片描述
在這里插入圖片描述
接下來是防火牆的端口的ip配置
在這里插入圖片描述

2.先把要求1和要求2一起配置
先把防火牆的各個端口加進對應的區域，g0/0/0和g0/0/2是在trust區的，g0/0/1是在untrust區的，g0/0/3是在dmz區內的
在這里插入圖片描述
接着配置安全策略，因為這個過濾規則是從上到下的，先配先過濾，所以我們要把 pc2不能訪問server1 這個先配了。拒絕pc2的ip地址訪問，再放通192.168.0.0這個網段
在這里插入圖片描述
接下來可以用ping命令來驗證結果
192.168.0.0/24網段可以訪問server1
在這里插入圖片描述

pc2不能訪問server1
在這里插入圖片描述
第1和第2個要求已經完成。

    192.168.1.0/24網段不可以ping通server1，但可以訪問server1的網站
    建立策略允許192.168.1.0/24網段通過http
    在這里插入圖片描述
    驗證結果，無法ping通
    在這里插入圖片描述
    但是可以訪問
    在這里插入圖片描述
    第三個要求也完成了

4.建立域內安全策略，使192.168.0.0/24網段不可以ping通192.168.1.0/24網段。
因為同一個區域內的是可以ping通的，要讓ping不通，在trust區內建立安全策略，禁止192.168.0.0網段
在這里插入圖片描述
驗證結果，192.168.0.0/24網段不可以ping通192.168.1.0/24網段了，第四個完成。
在這里插入圖片描述

5.untrust區的計算機只可以訪問dmz區服務器server2的網站。
開放untrust區到dmz區的通信，缺省包過濾
在這里插入圖片描述
查看結果
在這里插入圖片描述
第5個要求完成

6 .trust區192.168.0.0/24網段可以訪問dmz區服務器，而192.168.1.0/24網段不能訪問
先把trust區到dmz區放通，再配置策略
在這里插入圖片描述

在這里插入圖片描述
驗證結果
trust區192.168.0.0/24網段可以訪問dmz區服務器
在這里插入圖片描述
192.168.1.0/24網段不能訪問
在這里插入圖片描述
完成
————————————————
版權聲明：本文為CSDN博主「唉喲唉喲唉喲唉喲唉喲」的原創文章，遵循CC 4.0 BY-SA版權協議，轉載請附上原文出處鏈接及本聲明。
原文鏈接：https://blog.csdn.net/zaqzaqzaqzzz/article/details/101480849